CiscoAnyConnectSecureMobilityClient リリース 4.8 管理者ガ …...スクリプトの作成、テスト、および展開 81 スクリプトに関するAnyConnectプロファイルの設定

Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイド

シスコシステムズ合同会社〒107-6227東京都港区赤坂9-7-1 ミッドタウン・タワーhttp://www.cisco.com/jpお問い合わせ先：シスココンタクトセンター

0120-092-255（フリーコール、携帯・PHS含む）電話受付時間：平日 10:00～12:00、13:00～17:00http://www.cisco.com/jp/go/contactcenter/

【注意】シスコ製品をご使用になる前に、安全上の注意（ www.cisco.com/jp/go/safety_warning/）をご確認ください。本書は、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照くだ

さい。また、契約等の記述については、弊社販売パートナー、または、弊社担当者にご確認ください。

THE SPECIFICATIONS AND INFORMATION REGARDING THE PRODUCTS IN THIS MANUAL ARE SUBJECT TO CHANGE WITHOUT NOTICE. ALL STATEMENTS,INFORMATION, AND RECOMMENDATIONS IN THIS MANUAL ARE BELIEVED TO BE ACCURATE BUT ARE PRESENTED WITHOUT WARRANTY OF ANY KIND,EXPRESS OR IMPLIED. USERS MUST TAKE FULL RESPONSIBILITY FOR THEIR APPLICATION OF ANY PRODUCTS.

THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITHTHE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY,CONTACT YOUR CISCO REPRESENTATIVE FOR A COPY.

The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB's public domain version ofthe UNIX operating system. All rights reserved. Copyright © 1981, Regents of the University of California.

NOTWITHSTANDING ANY OTHER WARRANTY HEREIN, ALL DOCUMENT FILES AND SOFTWARE OF THESE SUPPLIERS ARE PROVIDED “AS IS" WITH ALL FAULTS.CISCO AND THE ABOVE-NAMED SUPPLIERS DISCLAIM ALL WARRANTIES, EXPRESSED OR IMPLIED, INCLUDING, WITHOUT LIMITATION, THOSE OFMERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT OR ARISING FROM A COURSE OF DEALING, USAGE, OR TRADE PRACTICE.

IN NO EVENT SHALL CISCO OR ITS SUPPLIERS BE LIABLE FOR ANY INDIRECT, SPECIAL, CONSEQUENTIAL, OR INCIDENTAL DAMAGES, INCLUDING, WITHOUTLIMITATION, LOST PROFITS OR LOSS OR DAMAGE TO DATA ARISING OUT OF THE USE OR INABILITY TO USE THIS MANUAL, EVEN IF CISCO OR ITS SUPPLIERSHAVE BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.

Any Internet Protocol (IP) addresses and phone numbers used in this document are not intended to be actual addresses and phone numbers. Any examples, command display output, networktopology diagrams, and other figures included in the document are shown for illustrative purposes only. Any use of actual IP addresses or phone numbers in illustrative content is unintentionaland coincidental.

All printed copies and duplicate soft copies of this document are considered uncontrolled. See the current online version for the latest version.

Cisco has more than 200 offices worldwide. Addresses and phone numbers are listed on the Cisco website at www.cisco.com/go/offices.

Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this URL:https://www.cisco.com/c/en/us/about/legal/trademarks.html. Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply apartnership relationship between Cisco and any other company. (1721R)

© 2020 Cisco Systems, Inc. All rights reserved.

https://www.cisco.com/c/en/us/about/legal/trademarks.html

目次

AnyConnectの展開 1第 1 章

展開前の作業 1

AnyConnect展開の概要 2

AnyConnectのためのエンドポイントの準備 5

AnyConnectとモバイルブロードバンドカードの使用方法 5

Windowsでの Internet Explorer信頼済みサイトのリストへの ASAの追加 5

Internet Explorerでのプロキシ変更のブロック 6

AnyConnectによるWindows RDPセッションの処理方法の設定 7

AnyConnectによる Linux SSHセッションの処理方法の設定 9

Windowsでの DES-only SSL暗号化 9

Linux上での NVMの使用 10

AnyConnectカーネルモジュールを構築するための必要条件 10

NVMの構築済み AnyConnect Linuxカーネルモジュールとのパッケージ化 10

AnyConnectの事前展開 11

事前展開とWeb展開向けの AnyConnectモジュール実行可能ファイル 13

AnyConnectプロファイルを事前展開する場所 14

AnyConnectを使用した VMのクローンに関するガイドライン（Windowsのみ） 16

スタンドアロンアプリケーションとしての AnyConnectモジュールの事前展開 17

Windowsでの SMSによるスタンドアロンモジュールの展開 17

スタンドアロンアプリケーションとしての AnyConnectモジュールの展開 18

スタンドアロンモジュールのユーザインストール 18

Windowsへの事前展開 19

zipファイルを使用した AnyConnectの配布 19

AnyConnect zipファイルの内容 20

Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドiii

SMSを使用した AnyConnectの配布 20

Windows事前展開セキュリティオプション 22

Windowsでの AnyConnectモジュールのインストールおよび削除の順序 23

macOSへの事前展開 24

macOSでの AnyConnectのインストールおよびアンインストール 24

macOSへのAnyConnectモジュールのスタンドアロンアプリケーションとしてのインス

トール 24

macOS上のアプリケーションの制限 26

Linuxへの事前展開 26

Linux用モジュールのインストール 26

Linux用モジュールのアンインストール 27

Linuxデバイスへの NVMの手動インストール/アンインストール 27

Firefoxでのサーバ証明書検証の初期化 27

Linuxデバイスへの DARTの手動インストール 28

Web展開 AnyConnect 28

ASAでのWeb展開の設定 30

WebLaunchのブラウザの制限 30

AnyConnectパッケージのダウンロード 31

ASAでの AnyConnectパッケージのロード 31

追加の AnyConnectモジュールの有効化 32

ASDMでのクライアントプロファイルの作成 32

ISEでのWeb展開の設定 33

ISEアップロードのための AnyConnectファイルの準備 34

AnyConnectを展開するための ISEの設定 35

FTDでのWeb展開の設定 36

AnyConnectソフトウェアおよびプロファイルの更新 38

AnyConnect自動更新の無効化 40

ユーザにWebLaunch中に AnyConnectのダウンロードを求めるプロンプトの表示 40

ユーザに対するアップグレード遅延の許可 41

更新ポリシーの設定 44

更新ポリシーの概要 44

Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドiv

目次

許可されたサーバ更新ポリシーの動作 45

不正なサーバ更新ポリシーの動作 45

更新ポリシーのガイドライン 46

更新ポリシーの例 47

AnyConnect参照情報 49

ローカルコンピュータ上のユーザプリファレンスファイルの場所 49

AnyConnectおよびレガシー VPNクライアントで使用されるポート 49

AnyConnectクライアントとインストーラのカスタマイズとローカライズ 51第 2 章

AnyConnectインストール動作の変更 51

カスタマーエクスペリエンスフィードバックの無効化 51

インストール動作の変更、Windows 52

クライアントインストールをカスタマイズするWindowsインストーラプロパティ 53

AnyConnectモジュール用のWindowsインストーラプロパティ 54

適応型セキュリティアプライアンスへのカスタマイズされたインストーラトランス

フォームのインポート 55

AnyConnectインストーラ画面のローカライズ 56

適応型セキュリティアプライアンスへのローカライズされたインストーラトランス

フォームのインポート 57

インストール動作の変更、macOS 59

ACTransforms.xmlによる macOSでのインストーラ動作のカスタマイズ 59

カスタマーエクスペリエンスフィードバックモジュールの無効化 59

インストール動作の変更、Linux 60

ACTransform.xmlによる Linuxでのインストーラ動作のカスタマイズ 60

DSCPの保存の有効化 60

パブリック DHCPサーバルートの設定 61

AnyConnect GUIテキストとメッセージのカスタマイズ 61

AnyConnectのテキストとメッセージの追加または編集 63

適応型セキュリティアプライアンスへの変換テーブルのインポート 66

エンタープライズ展開用のメッセージカタログの作成 66

ASAのカスタマイズした変換テーブルへの新しいメッセージの統合 67

Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドv

目次

クライアントでのWindowsのデフォルト言語の選択 69

AnyConnect GUIのカスタムアイコンおよびロゴの作成 69

AnyConnect GUIコンポーネントの置き換え 70

Windows用 AnyConnectアイコンとロゴ 71

Linux用 AnyConnectアイコンとロゴ 76

macOS用 AnyConnectアイコンとロゴ 78

AnyConnectクライアントのヘルプファイルの作成とアップロード 78

スクリプトの作成および展開 79

スクリプトの作成、テスト、および展開 81

スクリプトに関する AnyConnectプロファイルの設定 82

スクリプトのトラブルシューティング 83

AnyConnect APIによるカスタムアプリケーションの作成と展開 84

AnyConnect CLIコマンドの使用 85

クライアント CLIプロンプトの起動 85

クライアント CLIコマンドの使用 85

ASAによるセッション終了時にWindowsポップアップメッセージが表示されないように

する 87

ISE展開のための AnyConnectカスタマイズおよびローカリゼーションの準備 88

AnyConnectローカリゼーションバンドルの準備 88

AnyConnectカスタマイゼーションバンドルの準備 90

AnyConnectプロファイルエディタ 93第 3 章

プロファイルエディタについて 93

ASDMからの新しいプロファイルの追加 93

AnyConnect VPNプロファイル 94

AnyConnectプロファイルエディタ、プリファレンス（Part 1） 95

AnyConnectプロファイルエディタ、プリファレンス（Part 2） 100

AnyConnectプロファイルエディタのバックアップサーバ 106

AnyConnectプロファイルエディタの証明書照合 107

AnyConnectプロファイルエディタの証明書の登録 110

AnyConnectプロファイルエディタの証明書ピン 112

Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドvi

目次

証明書ピン留めウィザード 112

AnyConnectプロファイルエディタのモバイルポリシー 113

AnyConnectプロファイルエディタのサーバリスト 113

AnyConnectプロファイルエディタのサーバリストの追加/編集 114

AnyConnectプロファイルエディタのモバイル設定 116

NVMプロファイルエディタ 119

AnyConnectローカルポリシー 124

ローカルポリシーパラメータと値 124

ローカルポリシーパラメータの手動変更 128

MSTファイルでのローカルポリシーパラメータの有効化 129

Enable FIPSツールによるローカルポリシーパラメータの有効化 129

VPNアクセスの設定 131第 4 章

VPNへの接続と接続解除 131

AnyConnect VPN接続オプション 131

VPN接続サーバの設定 133

ログイン前のWindows VPN接続の自動開始 135

Start Before Logonについて 135

Start Before Logonの制限 136

Start Before Logonの設定 136

Start Before Logonのトラブルシューティング 138

AnyConnect起動時の VPN接続の自動開始 139

Windowsシステムにおける Start Before Logon（PLAP）の設定 139

VPN接続の自動リスタート 139

Trusted Network Detectionを使用した接続または接続解除 140

Trusted Network Detectionについて 140

Trusted Network Detectionのガイドライン 141

Trusted Network Detectionの設定 141

Always-Onを使用した VPN接続の必要性 144

Always-On VPNについて 144

Always-On VPNの制限事項 145

Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドvii

目次

Always-On VPNのガイドライン 145

Always-On VPNの設定 146

AnyConnect VPNクライアントプロファイルでのAlways-Onの設定 146

サーバリストへのロードバランシングバックアップクラスタメンバーの追加 146

常時接続 VPNからのユーザの除外 147

常時接続の接続障害ポリシーの設定 148

キャプティブポータルホットスポットの検出と修復の使用 150

キャプティブポータルについて 150

キャプティブポータル修復の設定 151

キャプティブポータルの修復の強化（Windowsのみ） 152

キャプティブポータルの修復の設定ブラウザのフェールオーバー 152

キャプティブポータルの検出と修復のトラブルシューティング 153

AnyConnect over L2TPまたは PPTPの設定 154

管理 VPNトンネルの使用 155

管理 VPNトンネルについて 155

管理 VPNトンネルの設定 158

管理 VPNトンネルのトンネルグループの設定 158

管理 VPNトンネルのプロファイルの作成 159

（オプション）すでに設定済みの管理 VPNプロファイルをアップロードする 159

グループポリシーへの管理 VPNプロファイルの関連付け 160

Tunnel-All設定をサポートするカスタム属性の設定 161

管理 VPNプロファイルの更新の制限 161

管理 VPNトンネル接続問題のトラブルシューティング 161

AnyConnectプロキシ接続の設定 163

AnyConnectプロキシ接続について 163

AnyConnectプロキシ接続の要件 164

プロキシ接続の制限 165

ローカルプロキシ接続の許可 165

パブリックプロキシ 165

パブリックプロキシ接続の設定（Windows） 165

パブリックプロキシ接続の設定（macOS） 166

Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドviii

目次

パブリックプロキシ接続の設定（Linux） 166

プライベートプロキシ接続の設定 166

ブラウザのプロキシ設定を無視するためのクライアントの設定 166

Internet Explorerの [接続（Connections）]タブのロックダウン 167

プロキシ設定の確認 168

VPNトラフィックの選択および除外 168

VPNをバイパスするための IPv4または IPv6トラフィックの設定 168

ローカルプリンタおよびテザーデバイスをサポートしたクライアントファイアウォール

の設定 169

スプリットトンネリングの設定 169

ダイナミックスプリットトンネリングについて 170

スタティックスプリットトンネリングとダイナミックスプリットトンネリングの相互

運用性 171

スプリットトンネリング設定をともなう重複シナリオの結果 172

ダイナミックスプリットトンネリングの使用状況の通知 172

スプリット DNS 173

スプリット DNSの要件 173

スプリット DNSの設定 173

AnyConnectログを使用したスプリット DNSの確認 174

スプリット DNSを使用しているドメインの確認 174

VPN認証の管理 175

重要なセキュリティ上の考慮事項 175

サーバ証明書処理の設定 175

サーバ証明書の確認 175

無効なサーバ証明書の処理 176

Certificate-Only認証の設定 179

証明書登録の設定 180

SCEPプロキシの登録と動作 180

認証局の要件 181

証明書登録のガイドライン 181

SCEPプロキシ証明書登録の設定 182

Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドix

目次

SCEP用のWindows 2008 Serverの認証局の設定 183

証明書失効通知の設定 185

証明書選択の設定 185

使用する証明書ストアの設定 186

Windowsユーザに認証証明書の選択を求めるプロンプトの表示 189

macOSおよび Linuxでの PEM証明書ストアの作成 189

証明書照合の設定 190

SAMLを使用した VPN認証 193

SDIトークン（SoftID）統合を使用した VPN認証 195

SDI認証交換のカテゴリ 197

ネイティブ SDIと RADIUS SDIの比較 199

RADIUS/SDIメッセージをサポートするための ASAの設定 200

証明書のピン留めについて 202

グローバルピンとホストごとのピン 203

ネットワークアクセスマネージャの設定 205第 5 章

ネットワークアクセスマネージャについて 205

Suite Bおよび FIPS 207

シングルサインオンの「シングルユーザ」の適用 207

シングルサインオンのシングルユーザの適用の設定 208

ネットワークアクセスマネージャの展開 208

DHCP接続テストの無効化 210

ネットワークアクセスマネージャプロファイル 210

クライアントポリシーウィンドウ 210

認証ポリシーウィンドウ 213

[ネットワーク（Networks）]ウィンドウ 214

ネットワーク、メディアタイプページ 215

ネットワーク、セキュリティレベルページ 217

認証ネットワークの設定 217

オープンネットワークの設定 220

共有キーネットワークの設定 220

Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドx

目次

[ネットワーク、ネットワーク接続タイプペイン 221

ネットワーク、ユーザまたはマシンの認証ページ 223

EAPの概要 223

EAP-GTC 224

EAP-TLS 224

EAP-TTLS 225

PEAPオプション 227

EAP-FAST設定 229

LEAP設定 231

ネットワーククレデンシャルの定義 231

ネットワークグループウィンドウ 238

ポスチャの設定 241第 6 章

ISEポスチャモジュールの提供内容 242

ポスチャチェック 242

必要な修復 242

エンドポイントコンプライアンスの再評価 244

シスコテンポラルエージェント 246

オプションモードのポスチャポリシー拡張機能 247

ハードウェアインベントリの可視性 247

ステルスモード 248

ポスチャポリシーの適用 248

UDID統合 249

アプリケーション監視 249

USBストレージデバイス検出 249

自動コンプライアンス 250

VLANのモニタリングと遷移 250

AnyConnect ISEフローを中断する操作 251

ISEポスチャのステータス 252

ポスチャとマルチホーミング 254

エンドポイントの同時ユーザ 254

Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドxi

目次

ポスチャモジュールのロギング 255

ポスチャモジュールのログファイルと場所 255

ISEポスチャプロファイルエディタ 256

詳細パネル 259

VPNポスチャ（HostScan）モジュールの提供内容 259

HostScan 259

基本的機能 260

エンドポイントアセスメント 260

Advanced Endpoint Assessment：マルウェア対策およびファイアウォールの修復 261

HostScan用のアンチマルウェアアプリケーションの設定 261

ダイナミックアクセスポリシーとの統合 262

DAPの BIOSシリアル番号 262

DAPエンドポイント属性としての BIOSの指定 262

BIOSシリアル番号の取得方法 263

ASAで有効にされたホストスキャンイメージの判別 263

HostScanのアップグレード 263

OPSWATサポート 263

Webセキュリティの設定 267第 7 章

Webセキュリティモジュールについて 267

一般的なWebセキュリティの設定 268

クライアントプロファイルでの Cisco Cloud Web Securityスキャニングプロキシ 268

ユーザがスキャニングプロキシを選択する方法 269

スキャニングプロキシリストの更新 270

ユーザに対するスキャニングプロキシの表示または非表示 270

デフォルトのスキャニングプロキシの選択 272

HTTP(S)トラフィックリスニングポートの指定 272

パブリックプロキシを設定するためのWindowsインターネットオプションの設定 273

Webスキャニングサービスでのエンドポイントトラフィックの除外または包含 274

ホスト例外の除外と包含 275

プロキシ例外の除外 276

Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドxii

目次

静的な例外の除外 277

ユーザ制御の設定および最も早いスキャニングプロキシ応答時間の計算 278

Secure Trusted Network Detectionの使用 280

Secure Trusted Network Detectionの不使用 281

認証の設定および Cisco Cloud Web Securityプロキシへのグループメンバーシップの送信282

Webセキュリティの詳細設定 284

KDFリスニングポートの設定 284

ポートが着信接続を受信する方法の設定 285

タイムアウトと再試行が発生するタイミングの設定 286

DNSルックアップ 286

デバッグの設定 287

トラフィックのブロックと許可 287

他のカスタマイズ可能なWebセキュリティオプション 287

エクスポートオプション 287

Webセキュリティのためのスプリットトンネル除外の設定 289

Cisco Cloud Web Securityホステッドプロファイルの使用 290

Cisco AnyConnect Webセキュリティエージェントの無効化および有効化 292

Windowsを使用したフィルタの無効化と有効化 292

Mac OS Xを使用したフィルタの無効化と有効化 292

Webセキュリティロギング 293

AMPイネーブラの設定 295第 8 章

AMPイネーブラについて 295

AMPイネーブラの導入 295

AMPイネーブラプロファイルエディタ 296

AMPイネーブラのステータス 297

ネットワーク可視性モジュール 299第 9 章

ネットワーク可視性モジュールについて 299

デスクトップ AnyConnectでの NVM 300

Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドxiii

目次

スタンドアロン NVM 301

展開モード 301

モバイル AnyConnectでの NVM 302

NVMの使用方法 302

NVMプロファイルエディタ 302

フローフィルタについて 308

カスタマーフィードバックモジュールによる NVMステータスの提供 309

Umbrellaローミングセキュリティ 311第 1 0 章

AnyConnect for Android OS用の Umbrellaモジュール 311

Android OSで AnyConnectの Umbrellaモジュールを展開するための前提条件 312

Android Windowsまたは OS用の AnyConnect Umbrellaモジュール 313

UmbrellaローミングクライアントとUmbrellaローミングセキュリティモジュールの非互

換性 313

Cisco Umbrellaアカウントの取得 313

ダッシュボードからの OrgInfoファイルのダウンロード 313

Umbrellaローミングセキュリティの起動と実行 314

OrgInfo.jsonファイルの設定 314

クラウド最新情報 315

セキュリティポリシーの設定とレポートの確認 316

エンドポイントに表示される UIの変更内容解説 316

診断の解釈 322

AnyConnect UmbrellaセキュアWebゲートウェイモジュール 322

SWGの制限事項 323

Umbrella SWGのインストールおよびアップグレード 323

Umbrella SWGのログファイルとメッセージ 323

ローミングセキュリティタイルのステータス 324

Umbrella SWGのトラブルシューティング 324

ローカルポリシーでの FIPSの有効化 325第 1 1 章

FIPS、NGE、および AnyConnectについて 325

Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドxiv

目次

AnyConnectの FIPS機能 326

AnyConnect FIPSの要件 327

AnyConnect FIPSの制限事項 327

AnyConnect FIPSのガイドライン 327

AnyConnectコア VPNクライアントのための FIPSの設定 329

AnyConnectコア VPNのための FIPSの有効化 329

Windowsインストール時の FIPSの有効化 329

ネットワークアクセスマネージャのための FIPSの設定 330

ネットワークアクセスマネージャのための FIPSの有効化 330

ネットワークアクセスマネージャに対する FIPSモードの適用 331

モバイルデバイスの AnyConnect 333第 1 2 章

モバイルデバイスでの AnyConnectの動作およびオプション 333

AnyConnect Mobile VPN接続について 333

モバイルデバイスでの AnyConnect VPN接続エントリ 334

トンネリングモード 334

モバイルデバイスでのセキュアゲートウェイ認証 335

モバイルデバイスでのクライアント認証 337

SAMLを使用した VPN認証 338

モバイルデバイスでのローカリゼーション 340

適応型セキュリティアプライアンスへの変換テーブルのインポート 342

モバイルデバイスでの FIPSおよび Suite B暗号化 342

Androidデバイスの AnyConnect 343

Androidでの AnyConnectの注意事項と制約事項 343

Android固有の考慮事項 344

Androidモバイルポスチャデバイスの ID生成 344

Androidデバイスのアクセス許可 345

Apple iOSデバイスの AnyConnect 345

Apple iOSでの AnyConnectの注意事項と制約事項 346

Apple iOS固有の注意事項 348

Chrome OSデバイスでの AnyConnect 351

Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドxv

目次

Chrome OSでの AnyConnectの注意事項と制約事項 351

Windows Phoneデバイスの AnyConnect 352

Windows Phone 10およびWindows Phone 8.1での AnyConnectの注意事項と制約事項 352

ASAセキュアゲートウェイでのモバイルデバイスの VPN接続の設定 353

アプリケーション単位 VPNの設定 355

Cisco AnyConnect企業アプリケーションセレクタツールのインストール 356

トンネル内で許可する必要のあるアプリケーションの決定 357

モバイルアプリのアプリケーション IDの決定 357

Androidデバイスでのアプリケーションごとの VPNポリシーの定義 358

Apple iOSデバイスのアプリケーション単位 VPNポリシーの定義 360

アプリケーション単位カスタム属性の作成 360

ASAのポリシーへのカスタム属性の割り当て 361

AnyConnect VPNプロファイルでのモバイルデバイス接続の設定 362

URIハンドラを使用した AnyConnectアクションの自動化 364

VPN接続エントリの生成 365

VPN接続の確立 368

VPNからの接続解除 371

証明書のインポート 371

VPNクライアントプロファイルのインポート 372

AnyConnect UIとメッセージのローカライズ 372

モバイルデバイスでの AnyConnectのトラブルシューティング 373

Cisco AnyConnectカスタマーエクスペリエンスフィードバックモジュール 375第 1 3 章

カスタマーエクスペリエンスフィードバックの設定 376

AnyConnectのトラブルシューティング 377第 1 4 章

トラブルシューティングに必要な情報の収集 377

統計詳細情報の表示 377

トラブルシューティング用にデータを収集するための DARTの実行 378

DARTで UDIDを公開する 379

Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドxvi

目次

インストールまたはアンインストールの問題についてデータを収集するためのログの収集

（Windows） 380

コンピュータシステム情報の取得 380

systeminfoファイルダンプの取得 380

レジストリファイルの確認 380

AnyConnectログファイルの場所 381

DARTを実行してトラブルシューティングデータをクリアする 381

AnyConnect接続または接続解除の問題 382

AnyConnectが初期接続を確立しないか、接続解除しない 382

AnyConnectがトラフィックを通過させない 384

VPNサービスの障害 385

VPNサービス接続に失敗 385

何がサービスと競合しているかの特定 386

VPNクライアントドライバで（Microsoft Windowsアップデート後に）エラーが発生する387

VPNクライアントドライバエラーの修復 387

ドライバのクラッシュ 387

VPNVA.sysでのドライバクラッシュの修復 387

vpnagent.exeでのドライバクラッシュの修復 388

ネットワークアクセスマネージャに関するリンク/ドライバの問題 388

その他のクラッシュ 388

AnyConnectのクラッシュ 388

.logファイルまたは .dmpファイルのバックアップ方法 389

AnyConnectが vpndownloaderでクラッシュする（Layered Service Provider（LSP）モジュー

ルおよび NOD32 AV） 389

ブルースクリーン（AT & T Dialer） 389

セキュリティの警告 390

Microsoft Internet Explorerのセキュリティの警告 390

「不明な機関による認証」アラート 390

クライアントでの信頼できるルート証明書のインストール 390

接続のドロップ 391

Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドxvii

目次

有線接続が導入された場合のワイヤレス接続のドロップ（Juniper Odysseyクライアント）391

Odysseyクライアントの設定 391

ASAへの接続に失敗（Kaspersky AV Workstation 6.x） 392

UDP DTLS接続なし（McAfee Firewall 5） 392

ホストデバイスへの接続に失敗（Microsoftルーティングとリモートアクセスサーバ）392

接続障害/クレデンシャル不足（ロードバランサ） 392

インストールの失敗 393

AnyConnectがダウンロードに失敗する（Wave EMBASSY Trust Suite） 393

非互換性の問題 393

ルーティングテーブルの更新に失敗（Bonjour Printing Service） 393

TUNのバージョンに互換性がない（OpenVPNクライアント） 393

Winsockカタログの競合（LSP症状 2競合） 393

データスループット低下（LSP症状 3競合） 393

SSLプロトコルスキャンの無効化 394

DPD障害（EVDOワイヤレスカードおよび Venturiドライバ） 394

DTLSトラフィック障害（DSLルータ） 394

NETINTERFACE_ERROR（CheckPointと、Kasperskyなどの他のサードパーティ製ソフト

ウェア） 395

パフォーマンスの問題（Virtual Machine Network Serviceドライバ） 395

既知のサードパーティ製アプリケーション競合 395

Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイドxviii

目次

第 1 章AnyConnectの展開

•展開前の作業（1ページ）• AnyConnect展開の概要（2ページ）• AnyConnectのためのエンドポイントの準備（5ページ）• Linux上での NVMの使用（10ページ）• AnyConnectの事前展開（11ページ）• Web展開 AnyConnect（28ページ）• AnyConnectソフトウェアおよびプロファイルの更新（38ページ）

展開前の作業Umbrellaローミングセキュリティモジュールを展開している場合は、Umbrellaローミングクライアントのすべての既存のインストールが検出され、競合を防ぐために自動的に削除されま

す。Umbrellaローミングクライアントの既存インストールを Umbrellaサービスサブスクリプションに関連付けている場合は、OrgInfo.jsonファイルをAnyConnectインストーラと同じ場所に配置して UmbrellaモジュールのディレクトリでWeb展開または事前展開を設定していない限り、Umbrellaローミングセキュリティモジュールに自動的に移行されます。Umbrellaローミングセキュリティモジュールを展開する前に、手動でUmbrellaローミングクライアントをアンインストールすることができます。

Umbrellaローミングセキュリティモジュールを使用している場合は、次の前提条件も満たす必要があります。

• Umbrellaローミングアカウントを取得する。Umbrellaダッシュボード（http://dashboard.umbrella.com）は、AnyConnect Umbrellaローミングセキュリティモジュールの操作に必要な情報を取得するログインページです。ローミングクライアントアクティ

ビティのレポートを制御するためにもこのサイトを使用します。

•ダッシュボードから OrgInfoファイルをダウンロードする。AnyConnect Umbrellaローミングセキュリティモジュールの導入準備を行うには、UmbrellaダッシュボードからOrgInfo.jsonファイルを取得します。[ID（Identities）]メニューストラクチャで [ローミングコンピュータ（Roaming Computers）]をクリックし、続いて、ページ左上隅の [+]記号をクリックします。AnyConnect Umbrellaローミングセキュリティモジュールまでスクロールし、[モジュールプロファイル（Module Profile）]をクリックします。

Cisco AnyConnect Secure Mobility Clientリリース 4.8管理者ガイド1

http://dashboard.umbrella.com

OrgInfo.jsonファイルには、ローミングセキュリティモジュールにレポートの送信先と適用するポリシーを知らせる、Umbrellaサービスサブスクリプションについての詳細が含まれています。

AnyConnect展開の概要AnyConnectの展開は、AnyConnectクライアントと関連ファイルのインストール、設定、アップグレードを意味します。

Cisco AnyConnect Secure Mobility Clientは、次の方法によってリモートユーザに展開できます。

•事前展開：新規インストールとアップグレードは、エンドユーザによって、または社内のソフトウェア管理システム（SMS）を使用して実行されます。

• Web展開：AnyConnectパッケージは、ヘッドエンド（ASAもしくは FTDファイアウォール、または ISEサーバ）にロードされます。ユーザがファイアウォールまたは ISEに接続すると、AnyConnectがクライアントに展開されます。

•新規インストールの場合、ユーザはヘッドエンドに接続して AnyConnectクライアントをダウンロードします。クライアントは、手動でインストールするか、または自動

（Web起動）でインストールされます。

•アップデートは、AnyConnectがすでにインストールされているシステムでAnyConnectを実行することにより、またはユーザを ASAクライアントレスポータルに誘導することによって行われます。

•クラウド更新：Umbrellaローミングセキュリティモジュールの展開後に、上記およびクラウド更新のいずれかの方法を使用して AnyConnectモジュールを更新できます。クラウド更新では、ソフトウェアアップグレードは Umbrellaクラウドインフラストラクチャから自動的に得られます。更新トラックは管理者のアクションではなくこれによって決まり

ます。デフォルトでは、クラウド更新からの自動更新は無効です。


AnyConnectの展開

AnyConnect展開の概要

クラウド更新に関して以下を検討してください。

•現在インストールされているソフトウェアモジュールのみが更新されます。

•カスタマイズ、ローカリゼーション、およびその他の展開タイプはサポートされません。

•更新は、デスクトップにログインしたときにのみ実行され、VPNが確立されているときは実行されません。

•更新を無効にすると、最新のソフトウェア機能と更新を利用できません。

•クラウド更新を無効にしても、他の更新メカニズムや設定（Web展開、遅延更新など）には影響しません。

•クラウド更新は、AnyConnectのより新しいバージョンや未公開バージョン（暫定リリース、修繕公開されたバージョンな

ど）があっても無視します。

（注）

AnyConnectを展開する場合に、追加機能を含めるオプションのモジュール、および VPNやオプション機能を設定するクライアントプロファイルを含めることができます。

ASA、IOS、Microsoft Windows、Linux、および macOSのシステム、管理、およびエンドポイントの要件については、AnyConnectのリリースノートを参照してください。

一部のサードパーティのアプリケーションおよびオペレーティングシステムにより、ISEポスチャエージェントおよびその他のプロセスによる必要なファイルアクセスおよび権限昇格が制

限される場合があります。AnyConnectインストールディレクトリ（Windowsの場合はC:\ProgramFiles (x86)\CiscoまたはmacOSの場合は /opt/cisco）がエンドポイントのウイルス対策、マルウェア対策、スパイウェア対策、データ漏洩防止、権限マネージャ、またはグループポリシーオブ

ジェクトの許可/除外/信頼リストで信頼されていることを確認します。

（注）

AnyConnectのインストール方法の決定

AnyConnectは、ISE 2.0（またはそれ以降）およびASAヘッドエンドによるWeb展開または事前展開が可能です。AnyConnectをインストールするには、最初に管理者権限が必要です。

Web展開

AnyConnectをアップグレードする、または（ASA/ISE/Umbrellaクラウドとダウンローダーからの）Web展開を使用して追加のモジュールをインストールするには、管理者権限は必要ありません。


AnyConnectの展開


http://www.cisco.com/c/en/us/support/security/anyconnect-secure-mobility-client/products-release-notes-list.html

• ASAまたは FTDデバイスからのWeb展開：ユーザは、ヘッドエンドデバイス上のAnyConnectクライアントレスポータルに接続して、AnyConnectのダウンロードを選択します。ASAは、AnyConnectダウンローダをダウンロードします。AnyConnectダウンローダがクライアントをダウンロードし、クライアントをインストールし、VPN接続を開始します。

• ISEからのWeb展開：ユーザは、ASA、ワイヤレスコントローラ、またはスイッチなどのネットワークアクセスデバイス（NAD）に接続します。NADはユーザを許可し、ISEポータルにユーザをリダイレクトします。AnyConnectダウンローダがクライアントにインストールされ、パッケージの抽出およびインストールを管理します。ただし、VPN接続は開始しません。

事前展開

AnyConnectをアップグレードするか、事前展開（手動または SCCMを使用した帯域外展開）を使用して追加のモジュールをインストールするには、管理者権限が必要です。

•社内のソフトウェア管理システム（SMS）を使用します。

• AnyConnectファイルのアーカイブを手動で配布し、インストール方法に関する指示をユーザに提供します。ファイルのアーカイブ形式は、zip（Windows）、DMG（Mac OS X）、gzip（Linux）です。

システム要件およびライセンスの依存関係の詳細については、『AnyConnect Secure MobilityClient Features, License, and OS Guide』を参照してください。

MacまたはLinuxプラットフォームでルート権限のアクティビティを実行するためにAnyConnectポスチャ（HostScan）を使用している場合は、AnyConnectポスチャを事前展開することを推奨します。

（注）

AnyConnectのインストールに必要なリソースの決定

AnyConnect展開は、複数の種類のファイルで構成されています。

• AnyConnectコアクライアント。AnyConnectパッケージに含まれています。

•追加機能をサポートするモジュール。AnyConnectパッケージに含まれています。

• AnyConnectおよび追加機能を設定するクライアントプロファイル。自分で作成します。

•言語ファイル、画像、スクリプト、およびヘルプファイル（展開をカスタマイズまたはローカライズする場合）。

• AnyConnect ISEポスチャおよびコンプライアンスモジュール（OPSWAT）。


AnyConnectの展開


http://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect44/feature/guide/anyconnect44features.htmlhttp://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect44/feature/guide/anyconnect44features.html

AnyConnectのためのエンドポイントの準備

AnyConnectとモバイルブロードバンドカードの使用方法一部の 3Gカードには、AnyConnectを使用する前に必要な設定手順があります。たとえば、VZAccess Managerには次の 3種類の設定があります。

•モデム手動接続（modem manually connects）

•ローミング時を除くモデム自動接続（modem auto connect except when roaming）

• LANアダプタ自動接続（LAN adapter auto connect）

[LANアダプタ自動接続（LAN adapter auto connect）]を選択した場合は、プリファレンスをNDISモードに設定します。NDISは、VZAccess Managerが終了されても接続を続行できる、常時接続です。VZAccess Managerでは、AnyConnectをインストールする準備が整うと、自動接続 LANアダプタをデバイス接続のプリファレンスとして表示します。AnyConnectインターフェイスが検出されると、3Gマネージャはインターフェイスをドロップし、AnyConnect接続を許可します。

優先順位の高い接続に移動する場合（有線ネットワークが最も優先順位が高く、次にWiFi、モバイルブロードバンドの順になります）、AnyConnectは、古い切断を解除する前に新しい接続を確立します。

Windowsでの Internet Explorer信頼済みサイトのリストへの ASAの追加

Active Directory管理者が Internet Explorerの信頼済みサイトのリストに ASAを追加するには、グループポリシーを使用できます。この手順は、ローカルユーザが Internet Explorerの信頼済みサイトに追加する方法とは異なります。

手順

ステップ 1 Windowsドメインサーバで、ドメイン管理者グループのメンバーとしてログインします。

ステップ 2 [Active Directoryユーザとコンピュータ（Active Directory Users and Computers）] MMCスナップインを開きます。

ステップ 3 グループポリシーオブジェクトを作成するドメインまたは組織ユニットを右クリックして、[プロパティ（Properties）]をクリックします。

ステップ 4 [グループポリシー（Group Policy）]タブを選択して、[新規（New）]をクリックします。

ステップ 5 新しいグループポリシーオブジェクトの名前を入力して、Enterを押します。

ステップ 6 一部のユーザまたはグループにこの新しいポリシーが適用されないようにするには、[プロパティ（Properties）]をクリックします。[セキュリティ（Security）]タブを選択します。このポ


AnyConnectの展開

AnyConnectのためのエンドポイントの準備

リシーを適用しないユーザまたはグループを追加し、[許可（Allow）]カラムの [読み取り（Read）]チェックボックスと [グループポリシーの適用（Apply Group Policy）]チェックボックスをオフにします。[OK]をクリック

ステップ 7 [編集（Edit）]をクリックし、[ユーザの構成（User Configuration）] > [Windowsの設定（WindowsSettings）] > [Internet Explorerメンテナンス（Internet Explorer Maintenance）] > [セキュリティ（Security）] > > > を選択します。

ステップ 8 右側のペインで [セキュリティゾーンおよびコンテンツの規則（Security Zones and ContentRatings）]を右クリックし、[プロパティ（Properties）]をクリックします。

ステップ 9 [現行のセキュリティゾーンとプライバシーの設定をインポートする（Import the current securityzones and privacy settings）]を選択します。プロンプトが表示されたら、[続行（Continue）]をクリックします。

ステップ 10 [設定の変更（Modify Settings）]をクリックし、[信頼されたサイト（Trusted Sites）]を選択して、[サイト（Sites）]をクリックします。

ステップ 11 信頼済みサイトのリストに追加するセキュリティアプライアンスの URLを入力し、[追加（Add）]をクリックします。形式は、ホスト名（https://vpn.mycompany.com)または IPアドレス (https://192.168.1.100)を含めることができます。完全一致 (https://vpn.mycompany.com)またはワイルドカード (https://*.mycompany.com)でも構いません。

ステップ 12 [閉じる（Close）]をクリックし、すべてのダイアログボックスが閉じるまで [OK]をクリックします。

ステップ 13 ドメインまたはフォレスト全体にポリシーが伝搬されるまで待ちます。

ステップ 14 [インターネットオプション（Internet Options）]ウィンドウで [OK]をクリックします。

Internet Explorerでのプロキシ変更のブロックある条件下では、AnyConnectによって Internet Explorerの [ツール（Tools）] > [インターネットオプション（Internet Options）] > [接続（Connections）]タブが非表示にされます（ロックされます）。このタブが表示されている場合、ユーザはプロキシ情報を設定できます。このタブ

を非表示にすると、ユーザが意図的または偶発的にトンネルを迂回することを防止できます。

タブのロックダウン設定は、接続を解除するときに反転します。タブのロックダウンは、その

タブに適用されている管理者定義のポリシーによって上書きされます。ロックダウンは、次の

場合に適用されます。

• ASAの設定で、[接続（Connections）]タブのロックダウンが指定されている

• ASAの設定で、プライベート側プロキシが指定されている

• Windowsのグループポリシーにより、以前に [接続（Connections）]タブがロックされている（no lockdown ASAグループポリシー設定の上書き）

Windows 10バージョン 1703（またはそれ以降）では、AnyConnectは、Internet Explorerの [接続（Connections）]タブを非表示にすることに加えて、設定アプリのシステムプロキシタブも非表示に（ロックダウン）し、ユーザが意図的または偶発的にトンネルを迂回しないようにし

ます。このロックダウンは、接続を解除するときに反転します。


AnyConnectの展開

Internet Explorerでのプロキシ変更のブロック

手順

ステップ 1 ASDMで、[設定（Configuration）] > [リモートアクセスVPN（Remote Access VPN）] > [ネットワーク（クライアント）アクセス（Network (Client) Access）] > [グループポリシー（GroupPolicies）]に移動します。

ステップ 2 グループポリシーを選択し、新しいグループポリシーの [編集（Edit）]または [追加（Add）]をクリックします。

ステップ 3 ナビゲーションペインで、[詳細（Advanced）] > [ブラウザプロキシ（Browser Proxy）] > に移動します。[プロキシサーバポリシー（Proxy Server Policy）]ペインが表示されます。

ステップ 4 [プロキシロックダウン（Proxy Lockdown）]をクリックして、その他のプロキシ設定を表示します。

ステップ 5 [継承（Inherit）]をオフにし、次のいずれかを選択します。

• [はい（Yes）]を選択して、AnyConnectセッションの間、プロキシのロックダウンを有効にし、Internet Explorerの [接続（Connections）]タブを非表示にします。

• [いいえ（No）]を選択して、AnyConnectセッションの間、プロキシのロックダウンを無効にし、Internet Explorerの [接続（Connections）]タブを公開します。

ステップ 6 [OK]をクリックして、プロキシサーバポリシーの変更を保存します。

ステップ 7 [適用（Apply）]をクリックして、グループポリシーの変更を保存します。

AnyConnectによるWindows RDPセッションの処理方法の設定AnyConnectは、Windows RDPセッションからのVPN接続を許可するように設定できます。デフォルトでは、RDPによってコンピュータに接続されているユーザは、Cisco AnyConnect SecureMobility Clientとの VPN接続を開始できません。次の表に、RDPセッションからの VPN接続のログインとログアウトのオプションを示します。これらのオプションは、VPNクライアントプロファイルで設定されます。


AnyConnectの展開

AnyConnectによるWindows RDPセッションの処理方法の設定

SBLモードで使用での使用可否

値設定名

○• [シングルローカルログイン（Single Local Logon）]（デフォルト）：VPN接続全体で、ログインできるローカルユーザは 1人だけです。また、クライアント PCに複数のリモートユーザがログインしている場合でも、ローカルユーザが VPN接続を確立することはできます。この設定は、VPN接続を介した企業ネットワークからのリモートユーザログインに対しては影響を与えま

せん。

VPN接続が排他的トンネリング用に設定されている場合、VPN接続用のクライアントPCのルーティングテーブルが変更されるため、リモートログインは接続解除

されます。VPN接続がスプリットトンネリング用に設定されている場合、リモートログインが接続解除され

るかどうかは、VPN接続のルーティング設定によって異なります。

（注）

• [シングルログイン（Single Logon）]：VPN接続全体で、ログインできるユーザは1人だけです。VPN接続の確立時に、ローカルまたはリモートで複数のユーザがログインしている場合、接続は

許可されません。VPN接続中にローカルまたはリモートで第2のユーザがログインすると、VPN接続が終了します。VPN接続中の追加のログインは許可されません。そのため、VPN接続によるリモートログインは行えません。

複数同時ログオンはサポートされません。（注）

×• [ローカルユーザのみ（Local Users Only）]（デフォルト）：リモートログインしたユーザは、VPN接続を確立できません。これは、以前のバージョンの AnyConnectと同じ機能です。

• [リモートユーザを許可（Allow Remote Users）]：リモートユーザは VPN接続を確立できます。ただし、設定された VPN接続ルーティングによってリモートユーザが接続解除された場合は、リ

モートユーザがクライアント PCに再アクセスできるように、VPN接続が終了します。リモートユーザが VPN接続を終了せずにリモートログインセッションを接続解除するには、VPNを確立した後、90秒間待つ必要があります。

その他のVPNセッションの接続オプションについては、「AnyConnect VPN接続オプション」を参照してください。


AnyConnectの展開

AnyConnectによるWindows RDPセッションの処理方法の設定

AnyConnectによる Linux SSHセッションの処理方法の設定AnyConnectは、Linux SSHセッションからのVPN接続を許可するように設定できます。デフォルトでは、SSHによってコンピュータに接続されているユーザは、Cisco AnyConnect SecureMobility Clientとの VPN接続を開始できません。次の表に、SSHセッションからの VPN接続のログインとログアウトのオプションを示します。これらのオプションは、VPNクライアントプロファイルで設定されます。

Linuxログイン適用：[シングルローカルログイン（Single Local Logon）]（デフォルト）：VPN接続全体で、ログインできるローカルユーザは 1人だけです。また、クライアント PCに複数のリモートユーザがログインしている場合でも、ローカルユーザがVPN接続を確立することはできます。この設定は、VPN接続を介した企業ネットワークからのリモートユーザログインに対しては影響を与えません。

VPN接続が排他的トンネリング用に設定されている場合、VPN接続用のクライアント PCのルーティングテーブルが変更されるため、リモートログインは接続解除されます。VPN接続がスプリットトンネリング用に設定されている場合、リモートログインが接続解除されるか

どうかは、VPN接続のルーティング設定によって異なります。

（注）

[シングルログイン（Single Logon）]：VPN接続全体で、ログインできるユーザは 1人だけです。VPN接続の確立時に、（ローカルまたはリモートで）複数のユーザがログインしている場合、接続は許可されません。（ローカルまたはリモートで）VPN接続中に第2のユーザがログインすると、VPN接続が終了します。VPN接続中の追加のログインは許可されません。そのため、VPN接続によるリモートログインは行えません。

Linux VPNの確立：

• [ローカルユーザのみ（Local Users Only）]（デフォルト）：リモートログインしたユーザは、VPN接続を確立できません。

• [リモートユーザを許可（Allow Remote Users）]：リモートユーザは VPN接続を確立できます。

その他のVPNセッションの接続オプションについては、「AnyConnect VPN接続オプション」を参照してください。

Windowsでの DES-only SSL暗号化デフォルトでは、WindowsはDES SSL暗号化をサポートしません。ASAにDES-onlyを設定した場合、AnyConnect接続は失敗します。これらのオペレーティングシステムのDES対応設定は難しいため、ASAには、DES-only SSL暗号化を設定しないことをお勧めします。


AnyConnectの展開

AnyConnectによる Linux SSHセッションの処理方法の設定

Linux上での NVMの使用NVMを Linux上で使用する場合は、事前にカーネルドライバフレームワーク（KDF）をセットアップする必要があります。AnyConnectカーネルモジュールを事前構築するか、ターゲット上にドライバを構築するか、選択できます。ターゲット上に構築する場合、アクションは不

要です。構築は、展開時またはリブート時に自動的に処理されます。

AnyConnectカーネルモジュールを構築するための必要条件ターゲットデバイスを準備します。

• GNU Make Utilityがインストールされていることを確認します。

•次のカーネルヘッダーパッケージをインストールします。

• RHELの場合は、kernel-devel-2.6.32-642.13.1.el6.x86_64などのパッケージkernel-devel-$(uname -r)をインストールします。

• Ubuntuの場合は、linux-headers-4.2.0-27-genericなどのパッケージ linux-headers-$(uname-r)をインストールします。

• GCCコンパイラがインストールされていることを確認します。インストールされた GCCコンパイラの major.minorバージョンが、カーネルの構築に使用されている GCCのバージョンと一致している必要があります。これは、/proc/versionファイルで確認できます。

NVMの構築済み AnyConnect Linuxカーネルモジュールとのパッケージ化

始める前に

「AnyConnectカーネルモジュールを構築するための必要条件（10ページ）」に記載されている前提条件を満たす必要があります。

NVMは、セキュアブートが有効になっているデバイスではサポートされません。（注）

AnyConnect NVMは、構築済みの AnyConnect Linuxカーネルモジュールとパッケージ化することができます。こうすると、特にターゲットデバイスの OSカーネルバージョンが同一である場合、すべてのターゲットデバイスに構築する必要がなくなります。事前構築の選択肢を

使用しない場合、構築は展開時またはリブート時に、管理者による入力がなくても自動的に実

行され、ターゲット上で使用できるようになります。また、展開がすべてのエンドポイントに

おけるカーネルの前提条件を満たしていない場合は、事前作成オプションを使用できます。


AnyConnectの展開

Linux上での NVMの使用

構築済み AnyConnect Linuxカーネルモジュールでは、Web展開はサポートされていません。（注）

手順

ステップ 1 AnyConnect事前展開パッケージ、anyconnect-linux64--predeploy-k9.tar.gzを解凍します。

ステップ 2 nvmディレクトリに移動します。

ステップ 3 次のスクリプトを呼び出します。$sudo ./build_and_package_ac_ko.sh

スクリプトを実行すると、構築済みの AnyConnect Linuxカーネルモジュールを含むanyconnect-linux64--ac_kdf_ko-k9.tar.gzが作成されます。セキュアブートが有効になっているシステムでは、セキュアブートによって許可された秘密キーを使用してモジュールに署

名します。このファイルは、事前展開にのみ使用することができます。

次のタスク

ターゲットデバイスのOSカーネルがアップグレードされたら、更新されたLinuxカーネルモジュールで AnyConnect NVMを再展開する必要があります。

AnyConnectの事前展開AnyConnectは、SMSを使用した手動による事前展開が可能です。この場合、エンドユーザがインストールできるファイルを配布するか、AnyConnectファイルアーカイブにユーザが接続できるようにします。

AnyConnectをインストールするためのファイルアーカイブを作成する場合、「AnyConnectプロファイルを事前展開する場所（14ページ）」で説明するように、アーカイブのディレクトリ構造が、クライアントにインストールされるファイルのディレクトリ構造と一致する必要が

あります。

始める前に

•手動で VPNプロファイルを展開している場合、ヘッドエンドにもプロファイルをアップロードする必要があります。クライアントシステムが接続する場合、クライアントのプロ

ファイルがヘッドエンドのプロファイルに一致することを AnyConnectが確認します。プロファイルのアップデートを無効にしており、ヘッドエンド上のプロファイルがクライア

ントと異なる場合、手動で展開したプロファイルは動作しません。

•手動で AnyConnect ISEポスチャプロファイルを展開する場合、ISEにもそのファイルをアップロードする必要があります。


AnyConnectの展開

AnyConnectの事前展開

•クローンされた VMを使用している場合は、「AnyConnectを使用した VMのクローンに関するガイドライン（Windowsのみ）（16ページ）」を参照してください。

手順

ステップ 1 AnyConnect事前展開パッケージをダウンロードします。

事前展開用の AnyConnectファイルは cisco.comで入手できます。

AnyConnect事前展開パッケージ名OS

anyconnect-win-version-predeploy-k9.zipWindows

anyconnect-macos-version-predeploy-k9.dmgmacOS

anyconnect-linux64-version-predeploy-k9.tar.gzLinux（64ビット）

Umbrellaローミングセキュリティモジュールは、Linuxオペレーティングシステムでは使用できません。

ステップ 2 クライアントプロファイルを作成します。一部のモジュールおよび機能にはクライアントプロファイルが必要です。

クライアントプロファイルを必要とするモジュールは次のとおりです。

• AnyConnect VPN

• AnyConnectネットワークアクセスマネージャ

• AnyConnect Webセキュリティ

• AnyConnect ISEポスチャ

• AnyConnect AMPイネーブラ

•ネットワーク可視性モジュール

• Umbrellaローミングセキュリティモジュール

AnyConnectクライアントプロファイルを必要としないモジュールは次のとおりです。

• AnyConnect VPN Start Before Logon

• AnyConnect Diagnostic and Reporting Tool

• AnyConnectポスチャ

• AnyConnectカスタマーエクスペリエンスフィードバック

ASDMでクライアントプロファイルを作成して、PCにこれらのファイルをコピーできます。または、Windows PC上のスタンドアロンプロファイルエディタを使用できます。Windows上


AnyConnectの展開

AnyConnectの事前展開

のスタンドアロンエディタの詳細については、「プロファイルエディタについて」を参照し

てください。

ステップ 3 任意で、「AnyConnectクライアントとインストーラのカスタマイズとローカライズ（51ページ）」を行います。

ステップ 4 配布用ファイルを準備します。ファイルのディレクトリ構造は、「AnyConnectプロファイルを事前展開する場所」で説明されています。

ステップ 5 AnyConnectインストール用ファイルをすべて作成したら、これらをアーカイブファイルで配布するか、クライアントにファイルをコピーできます。同じ AnyConnectファイルが、接続する予定のヘッドエンド、ASA、および ISEにも存在することを確認します。

事前展開とWeb展開向けの AnyConnectモジュール実行可能ファイル次の表に、Windowsコンピュータに Umbrellaローミングセキュリティモジュール、ネットワークアクセスマネージャ、AMPイネーブラ、ISEポスチャ、Webセキュリティ、およびネットワーク可視性モジュールの各クライアントを事前展開またはWeb展開する際のエンドポイントコンピュータ上のファイル名を示します。

表 1 : Web展開または事前展開のモジュールのファイル名

事前展開インストーラWeb展開インストーラ（ダウンロード）モジュール

anyconnect-win-version-nam-predeploy-k9.msianyconnect-win-version-nam-webdeploy-k9.msiネットワークアクセスマネージャ

anyconnect-win-version-websecurity-predeploy-k9.msianyconnect-win-version-websecurity-webdeploy-k9.exeWebセキュリティ

anyconnect-win-version-iseposture-predeploy-k9.msianyconnect-win-version-iseposture-webdeploy-k9.msiISEポスチャ

anyconnect-win-version-amp-predeploy-k9.exeanyconnect-win-version-amp-webdeploy-k9.msiAMPイネーブラ

anyconnect-win-version-nvm-predeploy-k9.msianyconnect-win-version-nvm-webdeploy-k9.exeネットワーク可視性モジュール

anyconnect-win-version-umbrella-predeploy-k9.msianyconnect-win-version-umbrella-webdeploy-k9.exeUmbrellaローミングセキュリティモジュール

AnyConnect 4.3（およびそれ以降）は Visual Studio 2015ビルド環境に移行しており、そのネットワークアクセスマネージャモジュールが機能するためには VS再頒布可能ファイルが必要です。これらのファイルは、インストールパッケージの一部としてインストールされます。.msiファイルを使用して、4.3（またはそれ以降）にネットワークアクセスマネージャモジュールをアップグレードできますが、最初にAnyConnect Secure Mobility Clientをアップグレードし、リリース 4.3（またはそれ以降）を実行する必要があります。


AnyConnectの展開

事前展開とWeb展開向けの AnyConnectモジュール実行可能ファイル

Windowsサーバ OSが存在する場合、AnyConnectネットワークアクセスマネージャをインストールするときに、インストールエラーが発生することがあります。WLANサービスはサーバのオペレーティングシステムにデフォルトではインストールされないため、このソフトウェ

アをインストールし、PCをリブートする必要があります。WLANAutoconfigサービスは、ネットワークアクセスマネージャがすべてのWindowsオペレーティングシステムで機能するための要件です。

（注）

AnyConnectプロファイルを事前展開する場所クライアントシステムにファイルをコピーする場合は、次の表に示す場所にファイルを配置す

る必要があります。

表 2 : AnyConnectコアファイル

説明ファイル

AnyConnectプロファイル。このファイルは、特定のユーザタイプに対して設定される機能および属性値を指定し

ます。

anyfilename.xml

XMLスキーマフォーマットを定義します。AnyConnectはこのファイルを使用して、プロファイルを検証します。

AnyConnectProfile.xsd


AnyConnectの展開

AnyConnectプロファイルを事前展開する場所

表 3 :すべてのオペレーティングシステムに対するプロファイルの場所

参照先モジュールオペレーティングシス

テム

%ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\ProfileVPNを使用するコアクライアント

Windows

%ProgramData%\Cisco\ Cisco AnyConnect Secure Mobility Client\NetworkAccessManager\newConfigFiles

ネットワークアクセス

マネージャ

%ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\WebSecurity

Webセキュリティ

%ProgramData%\Cisco\Cisco AnyConnect Secure MobilityClient\CustomerExperienceFeedback

カスタマーエクスペリ

エンスのフィードバッ

ク

%PROGRAMFILES%\Cisco\Cisco AnyConnect Secure Mobility Client\opswatOPSWAT

%ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\ISE PostureISEポスチャ

%ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\AMPEnabler

AMPイネーブラ

%ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\NVMネットワーク可視性モジュール

%ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\Umbrella

Umbrellaローミングセキュリティモジュールを有効にするためには、Umbrellaダッシュボードから OrgInfo.jsonファイルをコピーして、名前を変更しないでこの対象ディレクトリ

に配置する必要があります。または、インストールする前に

ファイルを \Profiles\umbrellaに配置して、OrgInfo.jsonファイルと Umbrellaローミングセキュリティモジュールインストーラを同じ場所に置くこともできます。

（注）

Umbrellaローミングセキュリティモジュール


AnyConnectの展開

AnyConnectプロファイルを事前展開する場所

参照先モジュールオペレーティングシス

テム

/opt/cisco/anyconnect/profileその他のすべてのモジュール

macOS

/opt/cisco/anyconnect/CustomerExperienceFeedbackカスタマーエクスペリエンスのフィードバッ

ク

/opt/cisco/anyconnect/binバイナリ

/opt/cisco/anyconnect/lib/opswatOPSWAT

/opt/cisco/anyconnect/libライブラリ

/Applications/Cisco/Cisco AnyConnect Secure MobilityClient.app/Contents/Resources/

UIリソース

/opt/cisco/anyconnect/iseposture/ISEポスチャ

/opt/cisco/anyconnect/ampenabler/AMPイネーブラ

/opt/cisco/anyconnect/NVM/ネットワーク可視性モジュール

/opt/cisco/anyconnect/umbrella

Umbrellaローミングセキュリティモジュールを有効にするためには、Umbrellaダッシュボードから OrgInfo.jsonファイルをコピーして、名前を変更しないでこの対象ディレクトリ

に配置する必要があります。または、インストールする前に

ファイルを \Profiles\umbrellaに配置して、OrgInfo.jsonファイルと Umbrellaローミングセキュリティモジュールインストーラを同じ場所に置くこともできます。

（注）

Umbrellaローミングセキュリティモジュール

/opt/cisco/anyconnect/NVMNVMLinux

/opt/cisco/anyconnect/profileその他のすべてのモジュール

AnyConnectを使用したVMのクローンに関するガイドライン（Windowsのみ）

AnyConnectエンドポイントは、AnyConnectのすべてのモジュールが使用するユニバーサルデバイス識別子（UDID）によって一意に識別されます。WindowsVMが複製されると、UDIDは


AnyConnectの展開

AnyConnectを使用した VMのクローンに関するガイドライン（Windowsのみ）

送信元からのすべてのクローンで同じままになります。複製されたVMで発生する可能性のある問題を回避するには、AnyConnectを使用する前に次のアクションを実行します。

1. C:\Program Files\Cisco\Cisco AnyConnect Secure Mobility Clientに移動し、管理者権限で次のように dartcli.exeを実行します。dartcli.exe -nu

または

dartcli.exe -newudid

2. このコマンドで UDIDが変更されたことを確認するため、このコマンドの前と後で UDIDを出力します。

dartcli.exe -u

または

dartcli.exe -udid

スタンドアロンアプリケーションとしての AnyConnectモジュールの事前展開

ネットワークアクセスマネージャ、Webセキュリティ、およびUmbrellaローミングセキュリティモジュールは、スタンドアロンアプリケーションとして実行できます。コア AnyConnectクライアントがインストールされていますが、VPNおよびAnyConnect UIは使用されません。

Windowsでの SMSによるスタンドアロンモジュールの展開

手順

ステップ 1 ソフトウェア管理システム（SMS）を設定してMSIプロパティPRE_DEPLOY_DISABLE_VPN=1を設定し、VPN機能を無効にします。次に例を示します。

msiexec /package anyconnect-win-version-predeploy-k9.msi /norestart /passive

PRE_DEPLOY_DISABLE_VPN=1 /lvx*

MSIは、MSIに埋め込まれたVPNDisable_ServiceProfile.xmlファイルをVPN機能のプロファイルに指定されたディレクトリにコピーします。

ステップ 2 モジュールをインストールします。たとえば、次のCLIコマンドは、Webセキュリティをインストールします。

msiexec /package anyconnect-win-version-websecurity-predeploy-k9.msi /norestart /passive

/lvx* c:\test.log

ステップ 3 （任意）DARTをインストールします。

misexec /package annyconnect-win-version-dart-predeploy-k9.msi /norestart /passive /lvx* c:\test.log

ステップ 4 難解化クライアントプロファイルのコピーを、正しいWindowsフォルダに保存します。


AnyConnectの展開

スタンドアロンアプリケーションとしての AnyConnectモジュールの事前展開

ステップ 5 Cisco AnyConnectサービスを再起動します。

スタンドアロンアプリケーションとしての AnyConnectモジュールの展開

AnyConnectのネットワークアクセスマネージャ、Webセキュリティ、およびUmbrellaローミングセキュリティモジュールは、スタンドアロンアプリケーションとしてユーザコンピュー

タに展開できます。これらのアプリケーションでは、DARTがサポートされます。

その利点と展開方法の詳細については、スタンドアロン NVM（301ページ）を参照してください。

要件

VPNDisable_ServiceProfile.xmlファイルは、VPNクライアントプロファイルディレクトリにある唯一の AnyConnectプロファイルである必要もあります。

スタンドアロンモジュールのユーザインストール

個別のインストーラを取得して、手動で配布できます。

zipイメージをユーザが使用できるようにし、それをインストールするように要求する場合は、スタンドアロンモジュールだけをインストールするように指示してください。

コンピュータ上にネットワークアクセスマネージャが事前にインストールされていなかった

場合、ユーザは、ネットワークアクセスマネージャのインストールを完了するためにコン

ピュータをリブートする必要があります。一部のシステムファイルのアップグレードを必要と

する、アップグレードインストールの場合も、ユーザはリブートを必要とします。

（注）

手順

ステップ 1 ユーザに AnyConnectネットワークアクセスマネージャ、AnyConnect Webセキュリティモジュール、または Umbrellaローミングセキュリティモジュールを確認するように指示します。

ステップ 2 [Cisco AnyConnect VPNモジュール（Cisco AnyConnect VPN Module）]チェックボックスをオフにするようユーザに指示します。

このようにすると、コアクライアントの VPN機能が無効になり、ネットワークアクセスマネージャ、Webセキュリティ、または Umbrellaローミングセキュリティモジュールが、インストールユーティリティによって、VPN機能なしのスタンドアロンアプリケーションとしてインストールされます。

ステップ 3 （任意）[ロックダウンコンポーネントサービス（Lock Down Component Services）]チェックボックスをオンにします。ロックダウンコンポーネントサービスによって、ユーザは、Windowsサービスを無効または停止できなくなります。


AnyConnectの展開

スタンドアロンアプリケーションとしての AnyConnectモジュールの展開

ステップ 4 オプションモジュール用のインストーラを実行するようにユーザに指示します。このインストーラでは、VPNサービスなしで AnyConnect GUIを使用できます。ユーザが [選択してインストール（Install Selected）]ボタンをクリックすると、次の処理が行われます。

a) スタンドアロンネットワークアクセスマネージャ、スタンドアロンWebセキュリティモジュール、または Umbrellaローミングセキュリティモジュールの選択を確認するポップアップダイアログボックスが表示されます。

b) ユーザが [OK]をクリックすると、設定値 PRE_DEPLOY_DISABLE_VPN=1を使用して、インストールユーティリティにより、AnyConnectコアインストーラが起動されます。

c) インストールユーティリティは、既存のすべての VPNプロファイルを削除してからVPNDisable_ServiceProfile.xmlをインストールします。

d) インストールユーティリティは、指定に応じて、ネットワークアクセスマネージャインストーラ、Webセキュリティインストーラ、または Umbrellaローミングセキュリティインストーラを起動します。

e) 指定に応じて、ネットワークアクセスマネージャ、Webセキュリティモジュール、またはUmbrellaローミングセキュリティモジュールが、コンピュータ上でVPNサービスなしで有効になります。

Windowsへの事前展開

zipファイルを使用した AnyConnectの配布

この zipパッケージファイルは、インストールユーティリティ、個々のコンポーネントインストーラを起動するセレクタメニュープログラム、AnyConnectのコアモジュールとオプションモジュール用のMSIを含みます。zipパッケージファイルをユーザに対して使用可能にすると、ユーザはセットアッププログラム（setup.exe）を実行します。このプログラムでは、インストールユーティリティメニューが表示されます。このメニューから、ユーザはインストー

ルする AnyConnectモジュールを選択します。多くの場合、ロードするモジュールをユーザが選択しないようにする必要があります。したがって、zipファイルを使用して配布する場合は、zipを編集し、使用されないようにするモジュールを除外して、HTAファイルを編集します。

ISOを配布する 1つの方法は、SlySoftや PowerISなどの仮想 CDマウントソフトウェアを使用することです。

事前展開 zipの変更

•ファイルをバンドルしたときに作成したすべてのプロファイルを使用して zipファイルを更新し、配布しないモジュールのインストーラをすべて削除します。

• HTAファイルを編集して、インストールメニューをカスタマイズし、配布しないモジュールのインストーラへのリンクをすべて削除します。


AnyConnectの展開

Windowsへの事前展開

AnyConnect zipファイルの内容

目的ファイル

AnyConnectアイコンイメージ。GUI.ico

インストールユーティリティを起動します。Setup.exe

DARTモジュール用MSIインストーラファイル。anyconnect-win-version-dart-predeploy-k9.msi

SBLモジュール用MSIインストーラファイル。anyconnect-win-version-gina-predeploy-k9.msi

ISEポスチャモジュール用MSIインストーラ。anyconnect-win-version-iseposture-predeploy-k9.msi

AMPイネーブラ用MSIインストーラファイル。anyconnect-win-version-amp-predeploy-k9.exe

ネットワーク可視性モジュール用MSIインストーラファイル。anyconnect-win-version-nvm-predeploy-k9.msi

Umbrellaローミングセキュリティモジュール用MSIインストーラファイル。

anyconnect-win-version-umbrella-predeploy-k9.msi

ネットワークアクセスマネージャモジュール用MSIインストーラファイル。

anyconnect-win-version-nam-predeploy-k9.msi

ポスチャモジュール用MSIインストーラファイル。anyconnect-win-version-posture-predeploy-k9.msi

Webセキュリティモジュール用MSIインストーラファイル。anyconnect-win-version-websecurity-predeploy-k9.msi

AnyConnectコアクライアント用MSIインストーラファイル。anyconnect-win-version-core-vpn-predeploy-k9.msi

setup.exeの情報ファイル。autorun.inf

Acceptable Use Policy（アクセプタブルユースポリシー）の略。eula.html

サイトに合わせてカスタマイズできる、インストールユーティリティ

HTMLアプリケーション（HTA）。setup.hta

SMSを使用した AnyConnectの配布

展開するモジュールのインストーラ（*.msi）を zipイメージから抽出した後で、これらを手動で配布できます。

要件

• AnyConnectをWindowsにインストールする場合、AlwaysInstallElevatedまたはWindowsUser Account Control（UAC）グループポリシー設定のいずれかを無効にする必要があります。無効にしないと、AnyConnectインストーラはインストールに必要な一部のディレクトリにアクセスできない場合があります。

• Microsoft Internet Explorer（MSIE）ユーザは、信頼済みサイトリストにヘッドエンドを追加するか、Javaをインストールする必要があります。信頼済みサイトのリストへの追加に


AnyConnectの展開

AnyConnect zipファイルの内容

より、最低限のユーザ操作で ActiveXコントロールによるインストールが可能になります。

プロファイルの展開プロセス

• MSIインストーラを使用する場合、MSIが Profiles\vpnフォルダに配置されている任意のプロファイルを選択し、インストール中に適切なフォルダに配置します。適切なフォルダ

パスは、CCOで使用可能な事前展開MSIファイルに含まれています。•インストール後にプロファイルを手動で事前展開する場合は、手動か、AltirisなどのSMSを使用してプロファイルをコピーすることにより、適切なフォルダにプロファイルを展開

します。

•クライアントに事前展開したプロファイルと同じクライアントプロファイルを、必ずヘッドエンドにも配置してください。このプロファイルは、ASAで使�

Documents

CiscoAnyConnectSecureMobilityClient リリース 4.8 管理者ガ …...スクリプトの作成、テスト、および展開 81 スクリプトに関するAnyConnectプロファイルの設定